第一次使用sureness对其的分析以下执行逻辑

最新推荐文章于 2024-04-11 09:54:29 发布
最新推荐文章于 2024-04-11 09:54:29 发布
阅读量629 收藏
点赞数 1
分类专栏: 笔记 文章标签: jwt java filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40519968/article/details/115190772
版权

在这里插入图片描述

 SurenessSecurityManager securityManager = SurenessSecurityManager.getInstance();

SurenessSecurityManager中的静态常量每次创建是单例的

 private static final SurenessSecurityManager INSTANCE = new SurenessSecurityManager();

在这里插入图片描述

    @Override
    public List<Subject> createSubject(Object var1) {
        return subjectFactory.createSubjects(var1);
    }

SurenessSubjectFactory中的createSubjects(final Object request)

所有subjectCreate
在这里插入图片描述
在初始化的时候,在factory中将5个creator传入,也可以自定义creator
在这里插入图片描述

如果是jwt则会获取JwtSubjectServletCreator
在这里插入图片描述

CustomTokenSubjectCreator request应为{“Token” : “tokenValue”}的形式
(String token = account.getUsername() + “–” + System.currentTimeMillis()
+ “–” + refreshPeriodTime
+ “–”+ UUID.randomUUID().toString().replace("-", “”);)
在这里插入图片描述
经过filter得到所支持的creator
在这里插入图片描述
在这里插入图片描述

经过map得到subject,在经过filter过滤掉空的subject,剩下jwtsubject和nonesubject
在这里插入图片描述

在验证是否是过滤的路径,添加支持的角色,通过processmananger.process()按subject类型遍历合适的processor在认证和授权然后将subject包装成SubjectSum
在这里插入图片描述

JwtProcessor来验证jwtsubject
验证jwt重新build新的jwtsubject(没有jwt)
在这里插入图片描述
所有的processor(PasswordProcessor需要额外提供以个SurenessAccountProvider,通过appid查找相应的用户信息)
在这里插入图片描述
provider 获取数据源
所有的Provider
在这里插入图片描述
利用snakeyaml解析yml文件
在这里插入图片描述在这里插入图片描述
provider中loadaccount实现方法按照addid从配置文件中查找相应的信息
在这里插入图片描述
分析jwt认证
1.发送请求拦截器会进行判断由于是排除的url会直接访问,选择需要的provider,使用documentAccountprovider时,输入appid和password从yaml中查找account信息进行authentication,如果成功则返回jwt
2.当其他没有被排除的请求发送过来时,如果header有authentication的话找到相应的creator获得subject
在经过processor处理授权和认证(jwt解码认证和过期认证等等都在这里)把subject变成subjectsum
3.如果认证和授权成功则放行,访问相应的url,如果失败则会抛出异常,直到抛到intercptor中被捕捉,然后信息放到返回体中。

另外

// 认证鉴权成功则会返回带用户信息的subject 可以将subject信息绑定到当前线程上下文holder供后面使用
if (subject != null) {
    SurenessContextHolder.bindSubject(subject)
    log.debug("auth success!")
}
//使用 上下文获得当前登陆用户的信息(principa,roles,所请求的资源)
 val subject = SurenessContextHolder.getBindSubject()

在ktor中的使用

post("/api/v1/account/auth") {
        val receiveParameters = call.receive<Map<String, String>>()
        if (!receiveParameters.containsKey("appId") || !receiveParameters.containsKey("password")) {
            call.respond(HttpStatusCode.BadRequest)
            return@post finish()
        }
        val accountProvider = DocumentAccountProvider()
        val appId = receiveParameters["appId"]
        var password = receiveParameters["password"]
        val account = accountProvider.loadAccount(appId)
        if (account == null || account.isDisabledAccount || account.isExcessiveAttempts) {
            call.respond(HttpStatusCode.Forbidden)
            return@post finish()
        }
        if (account.password != null) {
            if (account.salt != null) {
                password = Md5Util.md5(password + account.salt)
            }
            if (account.password != password) {
                call.respond(HttpStatusCode.Forbidden)
                return@post finish()
            }
        }
        // Get the roles the user has - rbac
        val roles = account.ownRoles
        // issue jwt
        val jwt = JsonWebTokenUtil.issueJwt(
            randomUUID().toString(), appId,
            "token-server", 3600, roles
        )
        val body = Collections.singletonMap("token", jwt)
        call.respond(HttpStatusCode.OK,body)
    }
jinyf233
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全之接口鉴权
墨痕诉清风的博客
02-28 431
鉴权就是鉴定权限。在公司开发的一些系统中都会有权限的鉴定。不管是app还是网站的项目,都会有登录模块,而只要有登录模块,他有一些功能,肯定是必须要登录之后才能完成了。例如:你在淘宝下单的时候,肯定是要登录的。你每次去做下单的时候,他其实每一次都会去检测你这个用户的信息,是否有效的。所以鉴权是接口每次被调用的时候,都需要做一个事情。API接口直接暴露在互联网上是存在安全风险的,
restful api 权限设计 - 快速搭建认证鉴权项目,真的只要10分钟
tomsun28
01-24 2156
restful api 权限设计 - 快速搭建认证鉴权项目 现在很多网站都进行了前后端分离,后端提供rest api,前端调用接口获取数据渲染。这种架构下如何保护好后端所提供的rest api使得更加重视。 认证-请求携带的认证信息是否校验通过,鉴权-认证通过的用户拥有指定api的权限才能访问此api。然而不仅于此,什么样的认证策略, jwt, basic,digest,oauth还是多支持, 权限配置是写死代码还是动态配置,云原生越来越火用的框架是quarkus不是spring生态,http实现不是ser
基于springboot+sureness的面向REST API资源无状态认证权限管理系统
06-14
基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统
探索Sureness:一个现代化的身份与访问管理框架
gitblog_00060的博客
04-11 308
探索Sureness:一个现代化的身份与访问管理框架 项目地址:https://gitcode.com/tomsun28/sureness 项目简介 Sureness 是一款由TomSun开发的轻量级、高性能的身份与访问管理(IAM)框架,专为微服务和云原生环境设计。它致力于简化应用的安全认证和授权流程,让开发者可以专注于业务逻辑,而非复杂的权限控制。 技术分析 Sureness基于Java语言,...
【宝藏】GitHub黑科技的开源项目(有趣&高质量)
大鹏的博客
06-02 8601
博主收集整理 GitHub 上高质量、有趣的开源项目,并将他们进行归类。值得注意的是,不是简单的按照编程语言来分类,而是按照更有趣的分类方式,比如:有趣项目、沙雕项目、实战项目、学习项目、实用工具等等。同时欢迎通过 Pull Request 或者 issues 给我们推荐优秀好玩的开源项目。目录好玩项目实战项目开源工具学习项目大厂开源盘点 GitHub 上堪称黑科技的开源项目,请托起你的下巴不要惊掉。盘点 GitHub 上的沙雕项目,这些项目可能会让你笑的合不拢嘴。
常见的用户认证鉴权方式
weixin_42479421的博客
09-28 80
鉴权
签发的用户认证token超时刷新策略
热门推荐
tomsun28
05-15 3万+
签发的用户认证token超时刷新策略 这个模块分离至上上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 对于登录的用户签发其对应的jwt,我们在jwt设置他的固定有效期时间,在有效期内用户携带jwt访问没问题,当过有效期后jwt失效,用户需要重新登录获取新的jwt。这个体验不太好,好的体验应该是:活跃的用户应该在无感知的情况下在jwt失效后获取到...
java鉴权_一个开箱即用的高效认证鉴权框架,专注于restful api的认证鉴权动态保护...
weixin_39618169的博客
12-02 666
作者:tomsun28来源:SegmentFault 思否写在开头看了看这个专栏的最近一篇文章已经是两年前了,时间过得好快。应该是出学校后时间就很快了。两年前因为用shiro后,自己就按着想法开始做一个认证鉴权框架 - sureness,想它是针对restful api的,它是易用的,它是没有框架绑定的。就按着这些想法断断续续的写了两年,中间陆陆续续在maven库发了10个版本,线上环境...
推荐项目:Sureness - 微服务时代的权限控制框架
gitblog_00037的博客
04-11 349
推荐项目:Sureness - 微服务时代的权限控制框架 项目地址:https://gitcode.com/dromara/sureness 项目简介 Sureness 是一个基于 Java 的轻量级、高性能的微服务权限控制框架,项目链接。它旨在简化企业级应用的权限管理,帮助开发者快速实现细粒度的访问控制,提升开发效率。 技术分析 Sureness 基于 token 认证和 ACL(Access ...
spring security+jwt 实现 restful api格式.
09-20
本案例采用jpa 持久化,/auth/login 获取token登入信息,把token 前添加Bearer 注意Bearer 后有个空格,放到headers 请求中.可访问其他信息
一个基于springboot+sureness的面向REST API资源无状态认证权限管理系统
最新发布
05-23
一个基于springboot+sureness的面向REST API资源无状态认证权限管理系统。个人经导师指导并认可通过的高分大作业设计项目,适用人群:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业或毕业设计,...
基于SpringBoot和Sureness的REST API资源认证权限管理系统设计源码
04-08
REST API认证权限管理系统 - 基于SpringBoot和Sureness开发,包含73个文件,如JAVA、PNG、XML、YML、SQL、GITIGNORE、DOCKERFILE、LICENSE、MD、YAML等。该系统提供了一个面向REST API的无状态认证和权限管理解决...
sureness认证鉴权框架.rar
07-11
sureness是在深度使用权限框架 apache shiro 之后,吸取其一些优点全新设计开发的一个认证鉴权框架。面向 restful api 的认证鉴权,基于 rbac (用户-角色-资源),主要关注于对 restful api 的安全保护。 无特定框架...
sureness认证鉴权框架 v1.0.8.zip
04-02
sureness认证鉴权框架 v1.0.8.zip
安全认证之SecurityContextHolder
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
逛了两天码云,搜集的优秀项目!
shengzhang_的博客
01-16 569
java 权限认证框架 sa-token https://gitee.com/sz6/sa-token 这可能是史上功能最全的Java权限认证框架! sureness https://gitee.com/tomsun28/sureness 一个开箱即用的高效认证鉴权框架,专注于restful api的动态保护 insp4j https://gitee.com/zengzhihong/insp4j 轻量级权限框架 JwtPermission https://gitee.com/w
Springboot 集成 Sureness鉴权 和 Swagger ,进不去Swagger错误记录
qq_44226361的博客
05-17 356
这里写自Swagger错误记录定义目录标题针对Swagger拦截放行 ** 针对Swagger拦截放行 把一下资源添加到数据库或者 yml文件配置 filterChainDefinitionMap.put("/swagger-ui.html", "anon"); filterChainDefinitionMap.put("/swagger/**", "anon"); filterChainDefinitionMap.put("/swagger-resources/**", "anon"); filterCh
Solon Auth 认证框架使用演示(更简单的认证框架)
weixin_48967543的博客
06-10 277
最近看了好几个认证框架,什么 Appache Shiro 啦、Sa-Token 啦、Spring Security啦。。。尤其是Spring Security,做为对标 Spring Boot & Cloud 的框架 Solon 怎么的也要有自己的亲生安全认证框架。所以在适配了 Sa-Token(satoken-solon-plugin) 和 sureness(sureness-solon-plugin) 之后,也开发了Solon 的亲儿子:Solon Auth (solon.extend.aut.
net.sf.json.JSONException: java.lang.NoSuchMethodException: ***.SubjectSum.<init>()
编程之美
01-04 3898
net.sf.json.JSONException: java.lang.NoSuchMethodException: com.air.app.finance.entity.SubjectSum.() at net.sf.json.JSONObject.toBean(JSONObject.java:288) at net.sf.json.JSONArray.toArray(JSONArray.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值